Seguridad
Cómo reportar vulnerabilidades y qué hacemos para proteger los datos del condominio.
Contacto de seguridad
security@visionproces.comPara reportar vulnerabilidades, sospechas de brecha o preguntas sobre el tratamiento de datos. Responderemos dentro de las 72 horas.
Si descubres una vulnerabilidad
Te pedimos seguir prácticas de divulgación responsable:
- Escríbenos a security@visionproces.com con descripción, pasos para reproducir e impacto estimado.
- Danos un plazo razonable para corregir antes de divulgar públicamente (sugerido: 90 días o hasta que esté parcheado).
- No accedas a datos de otros residentes más allá de lo estrictamente necesario para demostrar la vulnerabilidad.
- No degrades el servicio (DDoS, spam masivo, etc.) ni modifiques datos productivos.
Agradecemos tu reporte y mencionaremos públicamente a quien quiera ser reconocido, una vez resuelto el caso.
Qué hacemos
- HTTPS obligatorio en todo el sitio (Vercel).
- Contraseñas con hashing argon2id (estado del arte; nunca guardamos texto plano).
- Cookies de sesión con flags httpOnly, Secure y SameSite. No almacenamos tokens en localStorage.
- Base de datos encriptada en reposo (Neon Postgres) y conexión TLS.
- Control de acceso por roles: cada acción exige el rol mínimo necesario (residente, admin, junta) y se valida en el servidor.
- Rate limiting en login y registro de intentos para mitigar ataques de fuerza bruta.
- Aprobación de gastos por la Junta cuando superan umbral configurable, con bitácora completa.
- Validación de uploads: solo imágenes hasta 8 MB para fotos de incidencias, con auth previa.
- Retención de fotos: las fotos de incidencias cerradas se eliminan automáticamente a los 365 días.
Si sospechas que tu cuenta fue comprometida
- Cambia tu contraseña desde "Mi perfil" → "Cambiar contraseña". Las otras sesiones activas se cerrarán automáticamente.
- Avisa a security@visionproces.com con descripción de lo que notaste (cuándo, qué viste).
- Si crees que la Junta debe saber, avísale también a través de los canales habituales.
Respuesta a incidentes
1
Detectar
Investigamos qué datos se expusieron, de quiénes, y desde cuándo.
2
Contener
Revocamos accesos, rotamos secrets, parcheamos.
3
Notificar
Avisamos a usuarios afectados en plazo no mayor a 72 horas si el riesgo es alto.
4
Documentar
Registramos qué pasó, qué se hizo y cuándo.
5
Mejorar
Aplicamos controles adicionales para prevenir recurrencia.
Lo que NO hacemos
- No vendemos datos a terceros. Nunca.
- No usamos tus datos para entrenar modelos de IA.
- No tenemos analítica de comportamiento de terceros (sin Google Analytics, sin Facebook Pixel).
- No procesamos pagos en la app. Los pagos se hacen por fuera y se sube solo el comprobante (opcional).
Esta página se actualiza cuando hay cambios relevantes en los controles de seguridad o en los procedimientos.